کتاب ریسک‌های فناوری اطلاعات: تبدیل تهدیدهای کسب و کار به مزیت رقابتی

کتاب ریسک‌های فناوری اطلاعات: تبدیل تهدیدهای کسب و کار به مزیت رقابتی

کتاب ریسک‌های فناوری اطلاعات: تبدیل تهدیدهای کسب و کار به مزیت رقابتی نوشتۀ جورج وسترمن، به منظور ایجاد تدابیر ایمنی هنگام مواجهه با ریسک‌های کسب و کار، توصیه‌ها و ابزارهایی را بر اساس تحقیقات انجام شده ارائه می‌دهد.

از آن‌جا که امروزه ریسک فناوری اطلاعات همان ریسک کسب و کار است، سازمان بایستی از طریق پیامدهای کسب و کار، اقدام به تغییر شیوه‌های مدیریت ریسک نماید. کسب و کار دیگر نمی‌تواند در برابر این حقیقت که ریسک‌های فناوری اطلاعات تنها به دپارتمان فناوری اطلاعات مربوط نیست، مقاومت کند. آن‌ها باید دیدگاه‌های بخشی و تکنولوژیک نسبت به مقوله ریسک فناوری اطلاعات را با یک دیدگاه جامع از ریسک‌های کسب و کار و پیامدهای ناشی از تصمیمات فناوری اطلاعات جایگزین نمایند.

اگر شما یک مدیر کسب و کار هستید، ایده‌ها، چارچوب‌ها و توصیه‌هایی برای کمک به شما در راستای ایفای مسئولیت مدیریت ریسک فناوری اطلاعات در کنار سایر ریسک‌ها در این اثر گنجانده شده و اگر شما یک مدیر فناوری اطلاعات هستید، توصیه‌های گام به گامی‌ در راستای ایجاد ظرفیت مدیریت ریسک فناوری اطلاعات برای شما آورده شده است. در کتاب ریسک‌های فناوری اطلاعات (It risk)، قالب‌های خاصی که شما را در آغاز این برنامه، برای یافتن متخصصان مناسب برای هر بخش و به مشارکت وا داشتن کسب و کار و کارکنان فناوری اطلاعات کمک می‌کنند، ارائه می‌شود.

یافتن راهی برای چگونگی گفتگو پیرامون ریسک فناوری اطلاعات در قالب واژه‌های معمولی کسب و کار، گام اول در مسیر مدیریت ریسک است. سازمان باید این ظرفیت را نیز داشته باشد که بتواند ریسک‌هایی را که با آن‌ها مواجه است را شناسایی، اولویت‌بندی و به صورت دقیق مشخص کند. جورج وسترمن (Gerorge Westerman) و ریچارد هانتر (Richard Hunter)، در این کتاب ضمن ارائۀ نکاتی پیرامون چگونگی هدایت سازمان، بر سه اصل اساسی مدیریت کارآمد ریسک تأکید می‌کنند:

1- ساختاری منسجم و قدرتمند از اجزای مرتبط با فناوری اطلاعات با مدیریت درست دارایی‌ها، افراد و فرایندهای پشتیبانی فناوری اطلاعات.
2- اجرای فرایند مدیریت ریسک دارای طراحی مناسب به منظور شناسایی، اولویت‌بندی و کنترل ریسک‌ها.
3- وجود یک فرهنگ آگاهی از ریسک که در آن کارکنان سازمان به دلایل و راهکارهای ریسک‌های فناوری اطلاعات آگاهی داشته و در بحث و گفتگو پیرامون آن‌ها راحت و آزاد باشند.

در بخشی از کتاب ریسک‌های فناوری اطلاعات می‌خوانیم:

نظارت و پیگیری ریسک‌ها، به معنای مشاهده و ثبت هر دو موضوع تأثیر برنامه‌ها و سیاست‌گذاری‌های مدیر ریسک و تاثیرات رویداد‌های داخلی و خارجی بر روی ریسک‌های مدیریت شده می‌باشد. این عنوان، همچنین به معنای نظارت بر شاخص‌های کلیدی ریسک است که موقعیت‌هایی را که در گیر با A4 هستند می‌سنجد: دسترسی (برای مثال، وابستگی پیکربندی سخت افزار و نرم‌افزار به‌ یکدیگر، تماس‌ها با قسمت پشتیبانی و رفع عیب یا حجم قابل انتقال اطلاعات)، دستیابی (مانند جابجایی کارکنان)، دقت (مانند دقت در گزارشات و نمودارهای زمانی) و چابکی (مانند درصد پروژه‌هایی که در زمان مقرر و با بودجه پیش‌بینی شده تکمیل می‌شوند.)

عملکردهای سیستم‌های نظارت، می‌توانند به صورت خودکار و توسط سیستم‌های پشتیبانی کننده از یک فرایند اجرا شوند. برای مثال، داده‌ها در مورد این که چه چیزی شبکه سازمان را در مورد حمله‌ها آسیب‌پذیر می‌سازد، می‌توانند به صورت خودکار توسط نرم‌افزاری که به منظور دفع و جلوگیری از حملات استفاده می‌شود جمع‌آوری شوند. اما در بسیاری از سازمان‌ها، امر نظارت، شامل رویه‌ها و فرایندهایی است که توسط انسان‌ها انجام می‌شوند و معمولا تیمی ‌از کارکنان فنی و کارکنان کسب و کار، به صورت متناوب سیستم‌ها و فرایندهای کسب و کار را بررسی می‌کنند تا متوجه نقاط آسیب‌پذیر شده و انطباق با قوانین و استانداردها را بررسی نمایند.

تلیاسونرا، یک شرکت پیشرو در زمینۀ ارتباطات از راه دور در حوزه شمال و دریای بالتیک است که بازبینی ماهیانه مربوط به امنیت نرم‌افزارهای کاربردی را در سراسر واحدهای کسب و کار و برای تمامی‌فرایندهای موجود و سیستم‌های پشتیبانی و همچنین برای تمامی‌سیستم‌های در حال توسعه انجام می‌دهد. هر بازبینی، توسط انجمن امنیت فناوری اطلاعات (انجمن پیاده‌سازی در ساختار مدیریتی ریسک‌های فناوری اطلاعات) طراحی و تایید می‌شود و آگاهی و اخطار‌های لازم، به شیوه پیشرفته‌ای از طریق پرسش‌هایی که در طول بازبینی مطرح شده و بازخور افرادی که مورد مصاحبه قرار می‌گیرند، حاصل می‌شوند.

فهرست مطالب
مقدمه: مدیریت ریسک‌های فناوری اطلاعات و پیامدهای آن
دلایل ریسک فناوری اطلاعات
مدیریت ناکارآمد فناوری اطلاعات
پیچیدگی کنترل نشده
غفلت از ریسک
ریسک فناوری اطلاعات به عنوان ریسک کسب و کار و ارزش کسب و کار
نکاتی پیرامون ساختار این کتاب و مخاطبان آن
بخش نخست: ساختار مدیریت ریسک A4
دیدگاه جامع نسبت به ریسک‌های فناوری اطلاعات
ساختارA4
استفاده از A4 برای هدایت مدیریت ریسک فناوری اطلاعات
استفاده از چارچوب A4 برای تحلیل موازنه ریسک
استفاده از A4 برای حل ناسازگاری‌های پیرامون فرضیات ناگفته
بخش دوم: سه اصل محوری در مدیریت ریسک‌های فناوری اطلاعات
زیرساخت‌ها
یک زیرساخت ضعیف، همه ریسک‌ها را افزایش می‌دهد
رفع مشکلات زیرساخت‌ها
نکات مربوط به رویکرد مبتنی بر زیرساخت:
فرایندهای اداره ریسک
خلاصه‌ای از اصول مرتبط با فرایندهای اداره ریسک
نکته‌های مربوط به رویکرد مبتنی بر اداره ریسک
فرهنگ آگاهی از ریسک
تکنولوژی در جهت کاهش ریسک
ساختار از بالا به پایین آگاهی از ریسک
خلاصه‌ای از اصول حاکم بر فرهنگ آگاهی از ریسک
نکات مربوط به رویکرد مبتنی بر آگاهی
بخش سوم: بهسازی زیرساخت
مروری بر بهسازی زیرساخت
زیرساخت قابل اطمینان فناوری اطلاعات چگونه زیرساختی می‌باشد؟
دنبال کردن سه گام فرایند جهت بهسازی زیر ساخت
برنامه ایجاد و آزمایش تدوام کسب و کار
گام‌های کلیدی جهت مدیریت مؤثر تداوم کسب وکار
استفاده از تحلیل تأثیر کسب و کار برای اولویت‌بندی و زمان‌بندی جهت بازیابی
ایجاد برنامه
پیاده‌سازی و ارزیابی برنامه
داستان پرکردن شکاف سد
حذف رخنه‌ها
نظارت بر فناوری اطلاعات
اجرای کنترل‌ها و نظارت‌ها بر پایه چارچوب‌های استاندارد
بخش چهارم: بهسازی زیرساخت- ساده‌سازی زیرساخت‌های موجود
تأثیرات دارایی‌های قبلی سازمان بر زیرساخت‌ها
سازمان و انتخاب یکی از دو مسیر ساده‌سازی زیرساخت
دگرگونی سریع مؤثر است اما ریسک بیشتری دارد
تغییرات تدریجی افزایشی، اگرچه آهسته‌تر اما مطمئن‌ترند
سه گام برای موفقیت در دگرگونی زیر ساخت‌ها
ساده‌سازی زیرساخت، گام آغازین و پیش برنده‌ی تغییرات است
پایان تثبیت ساختار با ساده‌سازی دقیق برنامه‌ها
موارد کسب و کار برای انتقال کسب و کار بر اساس ارزش و ریسک
نقطه بحرانی ارزش و ریسک را می‌توان از سال‌ها قبل پیش‌بینی نمود
پیش‌بینی روند ارزش کسب و کار
پیش‌بینی روند ریسک برنامه‌های کاربردی
پیش‌بینی ریسک نسبت به ارزش
ایجاد برنامه سرمایه‌گذاری مجدد و تجدید بودجه
بخش پنجم: توسعه فرایند مدیریت ریسک
آنچه هر پدر و مادری در مورد مدیریت ریسک می‌داند
فرایند مدیریت ریسک مؤثر و چند لایه
نقش‌ها در فرایند مدیریت ریسک
نقش‌های اداره ریسک فناوری اطلاعات در عمل
گام‌های فرایند مدیریت ریسک فناوری اطلاعات
تعریف استانداردها و سیاست‌های ریسک
شناسایی و ارزیابی ریسک‌ها
اولویت‌دهی به ریسک‌ها و تقسیم مسئولیت
آدرس‌دهی ریسک‌ها
نظارت و پیگیری ریسک‌ها
پنج تجربه کلیدی از یک فرایند مدیریت ریسک فناوری اطلاعات مؤثر
بخش ششم: ایجاد یک فرهنگ آگاهی از ریسک
تفاوت فرهنگ مخالفت با ریسک با فرهنگ آگاهی از ریسک
یک فرهنگ آگاهی از ریسک، از سطوح بالایی سازمان آغاز می‌شود
لزوم گروه‌بندی مخاطبان و ارتباطات مداوم برای بهبود آگاهی
آگاهی برای مدیران اجرایی به معنای رهبری و اطلاع از وضعیت برنامه است
آگاهی، برای مدیران به معنای یکپارچه‌سازی و اجرا می‌باشد
آگاهی برای کارکنان فناوری اطلاعات، به معنای ساخت سیستم‌ها به شیوۀ آگاه از ریسک می‌باشد
شروع از سطوح بالا به سمت پایین به طور مداوم
برای آگاهی از ریسک، منتظر شنیدن صدای ضربه افتادن پیانو نشوید
بخش هفتم: سرعت بخشیدن به اجرای سه اصل محوری
دستیابی به شایستگی در زیرساخت‌ها
دستیابی به شایستگی در فرایندهای مدیریت ریسک
دستیابی به شایستگی در فرهنگ آگاهی از ریسک
تأثیر فرهنگ، شرایط محیطی و قابلیت‌ها، بر روی اصل محوری
مسائل مربوط به فرهنگ سازمانی
مسائل مربوط به پیشینه سازمان
مسائل مربوط به اندازه
مسائل مربوط به صنعت (کم اهمیت‌تر از مسائل مربوط به اندازه)
مسائل جغرافیایی
مسائل مربوط به ظرفیت‌ها و توانایی‌ها (بخصوص در ابتدای امر)
اصل محوری خود را برگزینید
هیچکدام از سه اصل یاد شده در این کتاب، به تنهایی کافی نیستند
بخش هشتم: تفکر آینده‌نگر
رصد کردن آینده با توالی صحیح
توجه به نیروهای خارجی و ابتکارات استراتژیک
توجه به نیروهای جدید یا در حال تغییر
توجه به ایده‌ها و نوآوری‌های استراتژیک
توجه به سه اصل محوری
بخش نهم: ده راهکار بهبود مدیریت ریسک‌های فناوری اطلاعات برای مدیران اجرایی
یک: ریسک‌های فناوری اطلاعات را به عنوان ریسک‌های کسب و کار تلقی نمایید
دو: در کوتاه‌مدت و بلندمدت، به ریسک‌ها در چارچوب A4 توجه داشته باشید
سه: با بستن شکاف‌های سد، در برابر وقوع سیل‌ها آماده باشید
چهار: به ساده‌سازی زیرساخت بپردازید
پنج: به ایجاد فرایندها و ساختارهای مدیریت ریسک بپردازید
شش: همه کارکنان را به نحو مناسبی از مهم‌ترین ریسک‌ها، نقاط آسیب‌پذیر و سیاست‌گذاری‌ها آگاه نمایید.
هفت: فرهنگی آگاهی از ریسک
هشت: میزان اثربخشی را اندازه بگیرید
نه: لزوم آینده‌نگری
ده: با ارائه مثال رهبری کنید

مطالب مرتبط

تگ‌ها

مطالب پربیننده

پربیننده
آخرین مطالب

عضویت در خبرنامه